基于文件解析的文件感染方法研究

作     者：郑勤华 

作者单位：华中科技大学 

学位级别：硕士

导师姓名：肖道举

授予年度：2011年

学科分类：081203[工学-计算机应用技术] 08[工学] 0835[工学-软件工程] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

主      题：计算机病毒 文件感染 文件解析 文件保护 

摘      要：由于计算机网络的脆弱性和互联网的开放性,计算机病毒已成为当前计算机和网络安全的最大隐患,而感染系统文件又是病毒侵入系统的主要方式。研究新的文件感染技术一方面可以了解文件感染型病毒的工作原理,催生新的反病毒技术,另一方面还可以完善监控软件的监控功能,加固主机的防御,具有很高的实用价值。 围绕文件感染技术的应用环境,分析了NTFS（New Technology File System）文件系统和FAT32（File Allocation Table）文件系统,分析了几种常见的PE（Portable Executable）文件感染方法,阐述了这些方法存在的不足和现有文件保护技术存在的缺陷,在此基础上提出了一种能增强文件感染有效性的文件解析过程。 基于文件解析的过程,设计了一个文件感染系统,给出了系统的总体架构和功能模块的划分。系统由初始化、NTFS解析、FAT32解析和文件感染四个功能模块组成。初始化模块主要用于系统运行环境的建立以及目标文件基本信息的获取;NTFS解析模块主要用于NTFS分区中的目标文件数据信息的获取以及文件数据的写回;FAT32解析模块主要用于FAT32分区中的目标文件数据信息的获取以及文件数据的写回;文件感染模块主要用于内存中PE文件的改写以及程序控制权的获取。 为了验证所给文件感染系统的感染效果,选择了三个文件保护软件:微点主动防御、卡巴斯基和360安全卫士,并建立了实验环境,对所给文件感染系统和常用文件感染方法进行了实验比较。 实验结果表明,基于文件解析的文件感染方法不仅能够有效地实现文件感染,而且兼顾了操作系统稳定性。